Questo articolo ha una media di giudizio:
 ( 5 )

  Articolo redatto da:
  Avv. Gianni Dell'Aiuto



Il DPO nel nuovo GDPR per il trattamento dati personali

28/01/2019 - Una breve introduzione alle figure previste dal GDPR


Nuove sigle e nuovi acronimi con cui combattere ogni giorno per aziende e professionisti ma, come si suol dire, lo chiede l’Europa. Anzi; in questo caso lo impone.



Il regolamento Europeo in materia di protezione dati personali (GDPR), prevede all’articolo 37 la figura del DPO (Data Protection Officer, in italiano Responsabile della Protezione Dati), che può essere nominato (in alcune ipotesi la nomina è obbligatoria) dal Titolare del Trattamento Dati e dal Responsabile del Trattamento, laddove nominato (rispettivamente il Controller e il Processor nella versione inglese del testo). Si tratta di una figura nuova, non prevista nel previgente testo della ormai superata 196/2003, di cui non viene fornita una descrizione, limitandosi il Regolamento ad elencare le capacità tecniche e giuridiche di cui deve essere in possesso, demandando ai singoli Stati un’eventuale disciplina normativa o la creazione di appositi albi.



Il DPO dovrà possedere adeguata conoscenza della normativa e delle prassi di gestione dei dati personali. È tenuto ad adempiere alle proprie funzioni in piena indipendenza ed in assenza di conflitti di interesse (e ciò genera forti dubbi sull’opportunità di una nomina interna ad un’azienda) e opera alle dipendenze del titolare o del responsabile sulla base di un contratto di servizi. In ogni caso la nomina è in forma scritta anche ai fini dell’opponibilità ai terzi e, principalmente, per la conoscenza da parte degli interessati che hanno prestato il consenso al trattamento dei loro dati.



Il DPO deve presidiare i profili privacy organizzativi dell’azienda attraverso un’opera di sorveglianza sulla corretta applicazione del Regolamento e della 196/2003 così come modificata e sulle politiche aziendali interne, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, consulenza e rilascio di pareri. Il DPO deve cooperare con l’Autorità Garante e riferire direttamente al vertice gerarchico aziendale. È inoltre il front office nei casi di richieste di informazioni da parte degli utenti (Interessati, ai sensi della normativa) che, è bene ricordare, devono poter avere accesso in ogni momento ai loro dati per poterne controllare la correttezza e le modalità di trattamento.



L’identità e i dati di contatto del DPO devono essere riportati, nell’ottica di trasparenza, nell’informativa che deve essere fornita prima della prestazione del consenso, e devono essere pubblicati sul sito dell’ente o società (art.37) e contenuti anche nel registro dei trattamenti. Nell’eseguire i propri compiti il DPO considera i rischi inerenti al trattamento stesso tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo, nonché della struttura per la quale opera.



IL DPO ha una posizione apicale all’interno di un’azienda o ente, potendo incidere sulle procedure interne laddove queste mettano in pericolo i dati trattati, la loro conservazione e cancellazione o il trasferimento nei casi di portabilità.



Da una lettura sistematica del Regolamento, emerge comunque che quella del DPO è una figura rilevante, ma non è il “centro” del sistema GDPR, che resta il Titolare del trattamento.



Da ciò deriva che la designazione del DPO, ad iniziare dall’accertamento delle sue capacità professionali è sempre nella responsabilità del titolare, che a tal fine deve tener conto dei tipi di trattamento concretamente posti in essere. La seconda è che quella del DPO è una funzione e non un “mestiere”. In una risposta del garante si precisa che il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. Deve poi avere “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente neglii ambiti delicati, dimostrare di avere competenze specifiche rispetto ai tipi di trattamento posti in essere.



Attualmente, in attesa di una normativa specifica, attestati rilasciati a seguito di corsi di formazione, di perfezionamento e di master, anche universitari, sono probabilmente una utile documentazione della quale è opportuno tenere conto, ma non sono titoli qualificanti o abilitanti e l’idoneità del RDP va verificata con riferimento ai trattamenti in essere nonché alla organizzazione e alle tecnologie impiegate. Ergo non esiste ad oggi una “abilitazione qualificante” allo svolgimento del ruolo di DPO basata su titoli acquisiti attraverso corsi o altro.



Avv. Gianni Dell’Aiuto



 




Per visualizzare questo documento, devi fare l'accesso: LOGIN >


Quanto ti è piaciuto questo articolo?   



Visualizza altri commenti:





DIVENTA REDATTORE
Contribuisci alla crescita del portale
Chiedi di diventare Redattore. Il portale cresce grazie anche a Te. Invia una email a: comitatoscientifico@maurovaglio.it.
I requisiti minimi per valutare la tua richiesta sono: appartenenza ad un albo professionale o certificabile riconoscimento come opinion leader in un settore professionale.